Sicherheit von passwortbasierten Authentifizierungssystemen
©2013
Bachelorarbeit
128 Seiten
Zusammenfassung
Diese Arbeit hat die Untersuchung zweier Thesen zum Ziel. Es soll beleuchtet werden, ob regelmäßige/erzwungene Passwortwechsel zum einen und die Verwendung von Single Sign-On-Systemen zum anderen die Sicherheit erhöhen. Es werden zunächst Grundlagen zur Begrifflichkeit von Sicherheit sowie psychologische Grundlagen erläutert. Nachfolgend werden Konstruktion, Verwendung und Sicherheitsrisiken von Passworten erläutert, um anschließend die erste These zu untersuchen. Im Anschluss werden passwortbasierte Authentikationssysteme am Beispiel von Single-Sign On und unter der Verwendung von Kerberos definiert, beschrieben und deren Sicherheitsrisiken erläutert, um die zweite These zu prüfen.
Leseprobe
Inhaltsverzeichnis
Inhaltsverzeichnis
1. Einleitung
1
1.1. Motivation und Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1.2. Gliederung der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
2. Grundlagen
4
2.1. Definition Sicherheit im Allgemeinen . . . . . . . . . . . . . . . . . . . . . . .
4
2.2. Definition Sicherheit in der Informationstechnologie . . . . . . . . . . . . . .
6
2.2.1.
Definition [Sicherheits|Schutz]ziele . . . . . . . . . . . . . . . . . . . .
8
2.2.2.
Sicherheitsmanagement . . . . . . . . . . . . . . . . . . . . . . . . . .
9
3. Psychologische Grundlagen
12
3.1. Definition Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
3.2. Definition Verhalten - Handlung . . . . . . . . . . . . . . . . . . . . . . . . . .
13
3.3. Definition Fehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
3.4. Heuristiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
3.4.1.
kognitive Heuristiken . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
3.4.2.
soziale Heuristiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
3.5. Bewertung von Heuristiken . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
4. Passwortsicherheit
23
4.1. Definition Passwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
4.2. Klassische Sicherheitsrisiken . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
4.3. Beinflussung der Sicherheit durch menschliches Handeln . . . . . . . . . . . .
26
4.3.1.
Social Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
4.3.2.
beabsichtigtes/unbeabsichtigtes Aushebeln von Security Policies . . .
34
4.4. Maßnahmen zur Erhöhung der Sicherheit von Passworten . . . . . . . . . . .
39
4.4.1.
Kriterien zur Passwortwahl und -verwendung . . . . . . . . . . . . . .
39
4.4.2.
Messbarkeit von Stärke und Qualität . . . . . . . . . . . . . . . . . . .
41
4.4.3.
Alternativen zum herkömmlichen Passwort . . . . . . . . . . . . . . .
43
4.4.4.
Proaktives Passwort-Checking . . . . . . . . . . . . . . . . . . . . . .
46
4.4.5.
Sicherheitsrichtlinie - Security Policy . . . . . . . . . . . . . . . . . . .
47
4.4.6.
Awareness und (Security) Awareness-Maßnahmen . . . . . . . . . . .
47
4.5. Thesenüberprüfung und Bewertung . . . . . . . . . . . . . . . . . . . . . . . .
51
5. Sicherheit von passwortbasierten Authentifikationssystemen
53
5.1. Definition Authentifikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
iv
Inhaltsverzeichnis
5.2. Definition Authentifikationssystem . . . . . . . . . . . . . . . . . . . . . . . .
55
5.3. Definition Single Sign-On-System . . . . . . . . . . . . . . . . . . . . . . . . .
55
5.3.1.
Taxonomie von Single Sign-On Systemen . . . . . . . . . . . . . . . .
56
5.4. Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
5.4.1.
Grundlagen und Definition . . . . . . . . . . . . . . . . . . . . . . . .
61
5.4.2.
Architektur und Terminologie . . . . . . . . . . . . . . . . . . . . . . .
62
5.4.3.
Authentifizierungsablauf . . . . . . . . . . . . . . . . . . . . . . . . . .
64
5.4.4.
Single Sign-On Funktionalität von Kerberos . . . . . . . . . . . . . . .
66
5.5. Sicherheit von Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
5.5.1.
Technik-basierte Risiken . . . . . . . . . . . . . . . . . . . . . . . . . .
68
5.5.2.
Beeinflussung der Sicherheit durch menschliches Handeln . . . . . . .
69
5.6. Thesenüberprüfung und Bewertung . . . . . . . . . . . . . . . . . . . . . . . .
70
6. Schluss
73
6.1. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
6.2. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
6.3. Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
6.3.1.
Arbeiten zur Passwortsicherheit . . . . . . . . . . . . . . . . . . . . . .
75
6.3.2.
Arbeiten zur Sicherheit von Single Sign-On-Systemen . . . . . . . . .
77
6.3.3.
Behavioral biometrics for persistent single sign-on . . . . . . . . . . .
77
Anhang
79
A. Einmal-Passworte
80
B. Zwei- und Multi-Faktor-Authentifikation
83
C. weitere SSO-Technologien
85
C.1. Security Assertion Markup Language (SAML) . . . . . . . . . . . . . . . . . .
85
C.2. OpenID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
C.3. Single Sign-On an der HAW . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Literaturverzeichnis
111
Tabellenverzeichnis
122
Abbildungsverzeichnis
123
Verzeichnis der Quellcodes
125
v
1. Einleitung
Heutzutage dominiert die elektronische Datenverarbeitung die Mehrheit der Arbeitsplätze.
Daten, die noch vor einigen Jahrzehnten ganze Räume mit Aktenschränken füllten werden nun
digital vorgehalten. Mit dieser Menge an Daten geht eine große Verantwortung einher - um den
Zugriff zu regulieren und die Daten vor unberechtigtem Zugriff zu schützen findet nahezu an
jedem beruflich genutzten Computer eine Authentifizierung des Benutzers mit einem Passwort
statt. In einer Welt, in der das Internet auf mobilen und stationären Geräten allgegenwärtig ist,
beschränkt sich die Nutzung von passwortbasierten Authentifikationssystemen nicht mehr
nur auf den beruflichen Gebrauch. Soziale Netzwerke, Online-Banking, die Nutzung von
Foren, E-Commerce-
1
oder auch E-Learning Plattformen erfordern stets eine Registrierung
mit Benutzernamen und Passwort.
Die Sicherheit der Daten hängt bei einer passwortbasierten Authentifikation maßgeblich
von der Qualität des Passworts ab. Hier trifft der Anwender die Entscheidung wie es lauten
soll, abhängig von einer eventuellen Vorbildung oder Vorschrift durch das authentifizierende
System. Gerade im beruflichen Umfeld hat der Benutzer Zugriff auf verschiedenste, individuell
geschützte Anwendungen und Programme. Meist handelt es sich um eine Windows-Umgebung,
die nach dem Einloggen weitere Programme zur individuellen Nutzung zur Verfügung stellt.
Hier hat sich inzwischen die Nutzung von sogenannten Single Sign-On-Verfahren durchgesetzt
die dem Benutzer erlauben, bereits nach einer initialen Authentifizierung Zugriff auf alle zu
Verfügung gestellten Programme zu haben.
1.1. Motivation und Ziel
Obwohl passwortbasierte Authentifizierungen allgegenwärtig sind scheint dem durchschnittli-
chen Nutzer das damit verbundene Risiko, wichtige Daten durch mangelhaften Schutz offenzu-
legen, nicht bewusst zu sein.
Im Gegenzug zur Standard-Authentifizierung, bei der für jede Benutzung eines Systems
oder Programms die Eingabe von Benutzernamen und Passwort notwendig ist sollen Single
1
z.B. Online-Versandhäuser wie Amazon.de, Zalando.de oder Otto.de
1
1. Einleitung
Sign-On-Systeme die Arbeit erleichtern, indem der Workflow nicht durch wiederkehrende
Authentifizierungen und den dadurch zu merkenden, verschiedenen Passworten unterbrochen
wird. Doch gilt es zu klären, ob durch diese Erleichterung auch noch die notwendige Sicherheit
gewährleistet werden kann - gerade dann, wenn der Anwender sein Passwort mangelhaft
auswählt.
Diese Arbeit ist in zwei Schwerpunkte unterteilt: zunächst werde ich prüfen, welche Maß-
nahmen zur Verbesserung der Passwortsicherheit bereits existieren und deren Sinnhaftigkeit
bewerten. Hierbei soll auch der psychologische Hintergrund des Benutzers betrachtet wer-
den um zu ergründen, warum Menschen sich auf eine bestimmte Art und Weise verhalten
und hierdurch zum vielbeschriebenen ,,Risikofaktor Mensch" werden. Im Anschluss an die
Untersuchung der Passwortsicherheit soll folgende These überprüft werden:
Erhöhen vorgeschriebene Passwortwechsel innerhalb fester Zeiträume (z.B.
monatlich, dreimonatlich) die Passwortsicherheit?
Den zweiten Schwerpunkt bildet die Untersuchung von passwortbasierten Authentifika-
tionssystemen. Besonderes Augenmerk liegt hier auf Authentifikationssystemen, die nach
dem Single Sign-On Verfahren operieren. Diese werden kategorisiert und hinsichtlich ihrer
Sicherheit untersucht, um im Anschluss die zweite Kernthese zu untersuchen:
Erhöhen Single Sign-On-Systeme die Sicherheit?
Abschließend wird der Zusammenhang beider Thesen hergestellt und überprüft, ob die
Verifizierung respektive Falsifizierung der Thesen auch in einem gemeinsamen Kontext gilt:
Inwieweit ist die Sicherheit von Single Sign-On-Systeme davon abhängig, ob ein Passwort in
regelmäßigen Abständen zu verändern ist?
1.2. Gliederung der Arbeit
Diese Arbeit gliedert sich in 6 Kapitel auf. Kapitel 2 klärt zunächst die grundlegenden Begriff-
lichkeiten Sicherheit und IT-Sicherheit, wonach Kapitel 3 einen Einblick in die psychologischen
Grundlagen liefert und die menschliche Handlungsweise beleuchten soll.
Im Anschluss wird in Kapitel 4 der Begriff des Passwortes sowie der verschiedenen Ar-
ten von Passworten definiert sowie erläutert, welche Sicherheitsrisiken durch menschliche
Einflussnahme bestehen. Verschiedene Gegenmaßnahmen und die Untersuchung der ersten
Kernthese schließen das Kapitel ab.
2
1. Einleitung
Nach einer Erläuterung von passwortbasierten Authentifikationssystemen im Allgemeinen
und Single Sign-On-Systemen sowie deren Technologie am Beispiel von Kerberos wird die
zweite Kernthese untersucht.
Den Abschluss bildet der Schluss (Kapitel 6), der eine Zusammenfassung der Arbeit geben soll.
Es folgt das Fazit dieser Arbeit sowie ein Ausblick auf aktuelle und zukünftige Entwicklungen.
3
2. Grundlagen
Sicherheit ist ein kontextsensitiver Begriff und hat nicht nur für jeden Menschen, sondern
auch in Bezug auf z.B. die Informationstechnologie (IT)
1
unterschiedliche Ausprägungen und
Bedeutungen. Dieses Kapitel will Begriffe abgrenzen und definieren sowie einen Überblick
über diejenigen verschaffenen, die für diese Arbeit von grundlegener Relevanz sind.
2.1. Definition Sicherheit im Allgemeinen
Sicherheit bezeichnet einen Zustand des Sicherseins, Geschütztseins vor Gefahr oder Schaden
bzw. das höchstmögliche Freisein von Gefährdungen
2
. Auf der Suche nach einer Definition
kommen jedoch einige Aspekte zum Tragen, die eine Unterscheidung des Sicherheitsbegriffes
erfordern. [Bun02] nimmt in seinem Artikel z. B. eine Unterteilung in vier Kategorien vor:
· Sicherheit bedeutet Gewissheit, Verlässlichkeit, Vermeiden von Risiken, aber auch Ab-
wesenheit von bzw. Schutz vor Gefahren werden mit diesem Begriff assoziiert.
· Sicherheit meint aber auch Statussicherheit, Gewährleistung des erreichten Lebensni-
veaus und der Lebensumstände einzelner Menschen und/oder sozialer Gruppen sowie
Bewahrung der gesellschaftlichen und politischen Verhältnisse, in denen Menschen
leben und sich eingereichtet haben.
· Mit dem Begriff ist weiterhin ein bestimmtes institutionelles Arrangement assoziiert, das
als geeignet erscheint, innere und äußere Bedrohungen einer sozialen und politischen
Ordnung abzuwehren.
· Und schließlich wird Sicherheit im juristischen Sinne als Unversehrtheit von Rechtsgü-
tern verstanden, die zu schützen und bei Verletzung wieder herzustellen Aufgabe der
Rechtsordnung und des Staates ist.
Sicherheit kann auch die 100-prozentige Wahrscheinlichkeit des Zutreffens einer Aussage
oder des (Nicht-)Eintreffens eines Ereignisses beschreiben (nach [BSHL12]).
1
ebenso üblich ist die Bezeichnung Informations- und Kommunikationstechnologie (IKT).
2
http://www.duden.de/rechtschreibung/Sicherheit#Bedeutung1
4
2. Grundlagen
Abbildung 2.1.: Die Maslowsche Bedürfnispyramide frei nach A. H. Maslow
Abraham H. Maslow als wichtiger Vertreter der humanistischen Psychologie hat die grund-
legenden menschlichen Bedürfnisse in seiner Pyramidendarstellung (siehe Abbildung 2.1 und
vgl. [Ehl08]) hierarchisch angeordnet. Direkt nach den wichtigsten, den physiologischen Be-
dürfnissen wie Essen, Trinken, Schlaf und Schmerzfreiheit ordnet er das Bedürfnis nach Schutz
und Sicherheit ein. Der Mensch strebt somit nach der Befriedigung seiner physiologischen
Grundbedürfnisse nach Schutz und Sicherheit.
[GK08] unterscheidet zwischen den Risikobereichen Sicherheit und Gefahr, die durch das
Grenzrisiko voneinander getrennt sind. Diese werden zwar als Gegensätze empfunden, gehören
aber zum selben Maßstab: beides ist ein Schadensrisiko, das vom Grenzrisiko gleichermaßen
verbunden und getrennt wird. Weder Gesetzgeber noch Technik können jedoch den Ort des
Grenzrisikos effektiv festlegen, da dieser für jeden Einzelfall separat betrachtet und festgelegt
werden muss. Auf diese Weise sind Sicherheit und Risiko untrennbar miteinander verbunden -
die Erhöhung der Sicherheit kann nur durch Verringerung des Schadenrisikos erfolgen, wobei
es keinen Zustand gibt, an dem kein Risiko besteht.
Sicherheit als Grundbedürfnis des Menschen kann es nur dann geben, wenn das Einzelfall-
abhängige Risiko als gering eingeschätzt wird. Sowohl gesetzliche Vorgaben als auch der
Erfahrungsschatz eines Einzelnen hat maßgeblichen Einfluss auf das Empfinden einer Person.
5
2. Grundlagen
Abbildung 2.2.: Das Schadensrisiko als Maßstab von Sicherheits- und Gefahrenbereich, frei
nach [GK08]
Wichtig zu berücksichtigen ist, dass sich die Risikoabschätzung und Sicherheitsempfindung
durch verschiedenste Faktoren beeinflussen lässt (siehe auch: Unterkapitel 4.3.1, Social Engi-
neering). Auch wenn ein Mensch bereits über ein eventuell eintretendes Risiko informiert ist
findet die Sicherheitseinstufung individuell, und auch unter Berücksichtigung von Heuristiken
(siehe auch: Kapitel 3.4, Heuristiken) statt.
Im Kontext dieser Arbeit soll daher von folgender, eigener Definition von Sicherheit ausge-
gangen werden:
Satz 2.1.1
Der Mensch empfindet Sicherheit genau dann, wenn er sich keines bestehenden
Risikos bewusst ist.
2.2. Definition Sicherheit in der Informationstechnologie
,,IT-Sicherheit hat die Aufgabe, Unternehmen und deren Werte (Know-How, Kun-
dendaten, Personaldaten) zu schützen und wirtschaftliche Schäden [. . . ] zu verhin-
dern." Claudia Eckert [Eck12, S. 1]
Die Begriffe IT-Sicherheit und Informationssicherheit werden in der Literatur häufig syn-
onym verwendet, obwohl diese bei genauer Betrachtung unterschiedliche Ziele verfolgen.
[Eck12] gibt erstmals einen Gesamtüberblick über die Materie, indem sie den Begriff Sicherheit
als Maßstab vorgibt und diesen in vier Bereiche unterteilt (siehe auch Abbildung 2.3):
6
2. Grundlagen
· Funktionssicherheit (engl. safety): Die Übereinstimmung der realisierten Ist-Funktiona-
lität der Komponenten eines Systems mit deren Soll-Funktionalität ohne funktional
unzulässige Zustände.
· Informationssicherheit (engl. security): die Eigenschaft eines funktionssicheren Sys-
tems unautorisierte Informationsveränderung oder -gewinnung zu vermeiden.
· Datensicherheit (engl. protection): Die Eigenschaft eines funktionssicheren und infor-
mationssicheren Systems, unautorisierte Zugriffe auf Systemressourcen und Daten als
auch Informationsverlust (z.B. durch fehlende Backups) zu verhindern.
· Datenschutz (engl. privacy): die Fähigkeit einer natürlichen Person, die Erhebung und
Verwendung und Weitergabe von deren personenbezogenen Daten zu kontrollieren
(siehe auch [Bun13b]).
IT-Sicherheit bezeichnet somit weniger die Sicherheit als vielmehr den Schutz von Informa-
tionen, die elektronisch als Daten gespeichert und mithilfe von Informationstechnologie (IT)
verarbeitet wurden, vor Bedrohungen : dem Nutzer selbst, Malware, Hacker oder Kriminellen
(vgl. [Bru06]).
Abbildung 2.3 listet sowohl englisches als auch deutsches Sicherheitsvokabular auf, um eine
bessere Übersicht zu gewähren.
Abbildung 2.3.: deutsches und englisches Sicherheitsvokabular nach [Kli10]
7
2. Grundlagen
2.2.1. Definition [Sicherheits|Schutz]ziele
Authentizität
Die Authentizität eines Objekts bzw. Subjekts (engl. authenticity) bezeichnet die Echtheit und
Glaubwürdigkeit des Objekts bzw. Subjekts - diese ist durch eine eindeutige Identität und
charakteristischen Eigenschaften überprüfbar (vgl.[Eck12]).
Authentifikation als Beweis der Authentizität eines Subjekts (z.B. eines Benutzers) gegenüber
eines Computers besteht aus zwei Schritten (vgl. [Shi07], [Eck12]):
1. Identifikation: der Benutzer gibt seine eindeutige Benutzerkennung (engl. account) an
2. Verifikation: der Benutzer weist nach, dass seine behauptete Identität mit den vorher
festgelegten charakteristischen Eigenschaften übereinstimmt. Charakteristische Eigen-
schaften zum Nachweis der Identität (engl. credentials) sind beispielsweise Passworte,
biometrische Merkmale (Fingerabdruck) oder Smartcards.
3
Um die Authentizität von Objekten
4
über ein unsicheres Transportmedium wie z.B. das
Internet nachzuweisen werden kryptographische Verfahren verwendet. Die Echtheitsprüfung
der Daten beinhaltet einen Ursprungs- und Urhebernachweis, aber keine Aussagen über die
Funktionalität des Objekts.
Manipulationssicherheit
Manipulationssicherheit (engl. integrity) stellt sicher, dass zu schützende Informationen nicht
unautorisiert, unbemerkt und/oder unbeabsichtigt verändert werden. Als Beispiel nennt
[Eck12] Lese- und Schreibberechtigungen für Dateien oder den Verfügungsrahmen eines
Bankkontos, der Abbuchungen über einen bestimmten Betrag hinaus verhindert. Die Gewähr-
leistung der Anforderungen erfolgt durch Modelle der Zugriffskontrolle, z.B. durch Role-Based
Access Control (RBAC)
5
. Weiterhin muss sichergestellt werden, dass unautorisierte Manipu-
lationen nicht unentdeckt bleiben - Datenveränderungen können z.B. mit kryptographisch
sichere Hashfunktionen festgestellt werden.
3
Aktuell etabliert sich der Personalausweis in Verbindung mit einem entsprechenden Lesegerät und einer sechs-
stelligen PIN zu einem Identitätsnachweis. http://www.personalausweisportal.de/DE/Home/
home_node.html
4
z.B. Web-Server, Access-Points oder Code
5
spezifiert im http://tools.ietf.org/html/rfc4949, Internet Security Glossary, Version 2
8
2. Grundlagen
Vertraulichkeit
Vertraulichkeit (engl. confidentiality) bedeutet, dass nur berechtigte Personen und Systeme auf
Informationen Zugriff erhalten (vgl. [Bru06]). Diese lässt sich in datensicheren Systemen durch
die Festlegung von Berechtigungen oder Kontrollen jeglicher Art bewirken, die sicherstellen
dass kein Subjekt
6
unberechtigten Zugriff auf Informationen erhält. Um die Anforderungen an
die Vertraulichkeit zu erfüllen werden kryptographische Verschlüsselungstechniken angewandt
[Eck12].
Verfügbarkeit
Verfügbarkeit (engl. availability) gibt an, ob und in welcher Weise IT-Services in einem defi-
nierten Zeitraum zur Nutzung durch autorisierte Subjekte zur Verfügung stehen [Bru06]. Hier
werden Ausführungsverzögerungen, die z.B. durch Prozess-Scheduling auf dem genutzten
System entstehen, nicht als Verletzung der Verfügbarkeit betrachtet. Tatsächlich bezeichnet
[Eck12] es als schwierig, unautorisierte Beeinträchtigungen der Verfügbarkeit zu erkennen.
Um die Anforderung der Verfügbarkeit jedoch einzuhalten werden Maßnahmen zur Reglemen-
tierung von z.B. Speicher oder CPU-Zeit nach vorgegebenen Quoten empfohlen.
Verbindlichkeit
Verbindlichkeit (engl. non-repudiation) stellt sicher, dass jede Aktion nachträglich einem Sub-
jekt zugeordnet werden kann und somit nicht abstreitbar ist. Relevanz hat diese Eigenschaft
laut [Eck12] bei der Verwendung von Rechenzeit, die eine Abrechenbarkeit (engl. accountabi-
lity) und Überwachung (engl. audit). Eine andere relevante Aktion ist die Sicherstellung der
Rechtsverbindlichkeit getätigter Geschäfte im E-Commerce
7
- hier finden digitale Signaturen
Anwendung, um die Anforderung zu erfüllen.
2.2.2. Sicherheitsmanagement
,,Sicherheit ist ein Prozess und kein Produkt." Bruce Schneier [Sch01, S. 264]
Sicherheitsmanagement bezeichnet den Prozess der Planung, Konzeption, Umsetzung und
kontinuierlichen Prüfung, Steuerung und Fortentwicklung des Sicherheitsniveaus eines Unter-
nehmens oder einer Organisationseinheit (vgl. [Mül11]).
6
Subjekt bezeichnet in diesem Kontext einen Benutzer, kann aber durchaus auch für Prozesse oder Hardwarekom-
ponenten stehen.
7
für: electronic commerce, engl. für elektronische Geschäfte (z.B. Onlineshops)
9
2. Grundlagen
Ein Sicherheitsmanagement schützt immer ein Gesamtunternehmen, was personelle, ma-
terielle und immaterielle Werte mit einschließt und diese zu Schutzobjekten macht, die an-
forderungsgerecht abzusichern sind. Neben den Themenfeldern Prozesse, Ressourcen und
Organisation ist auch der Lebenszyklus von Prozessen, Ressourcen (Systemem), Organisation,
Dienstleistung und Produkten ein wichtiger Aspekt, um einen sicheren Geschäftbetrieb, sichere
Systeme und sichere Produkte zu erreichen.
IKT- bzw. Informationssicherheitsmanagement als integrativer Teilbereich eines Sicherheits-
management erstreckt sich über den Bereich der Informations- und Kommunikationstechnolo-
gie und somit über alle IT-Prozesse, die Phasen des Lebenszyklus von Computersystemen und
über alle Ressourcen (z.B. Hardware, Software, Middleware, Betriebssysteme, Knowledgeware
(Wissen) und Paperware (Unterlagen und Dokumente).
Um einen gleichbleibenden Standard zu bieten sind Normen, Standards und Best Practice-
Ansätze einem kontinuierlichen Verbesserungsprozess unterzogen und sollen nachfolgend und
in Kürze aufgezeigt werden.
Sicherheitsstandards und ITIL
Sowohl nationale als auch internationale Standards beschäftigen sich mit IT-Sicherheit. An
dieser Stelle soll ein kurzer Überblick hierüber gegeben werden ohne explizit auf Details (wie
deren Anwendungsbereiche oder Auswahl) einzugehen (vgl. [Bru06], [Mül11]).
TCSEC (Orange Book)
1985 veröffentlichte das Department of Defense (DoD) der USA
einen ersten umfassenden Maßnahmenkatalog zur Messung der erreichten IT-Sicherheit, das
,,Trusted Computer System Evaluation Criteria" (TCSEC), aufgrund der Umschlagfarbe Orange
Book genannt. Die Sicherheitseinstufung erfolgt in vier Stufen von A bis D, wobei A für be-
weisbaren Schutz (engl. verified protection), D für minimalen Schutz (engl. minimal protection)
steht. 1987 erfolgte eine Adaption für vernetzte Systeme (Trusted Network Interpretation of
the TCSEC, auch: Red Book).
ISO/IEC 27000
Dieser Standard ist eine Reihe von Dokumenten, die von der International
Standards Organization (ISO) und der International Electrotechnical Commission (IEC) zur Fest-
legung einheitlicher Terminologien und Definitionen, das Informationssicherheitsmanagement
(ISMS) betreffend, veröffentlicht wurden.
10
2. Grundlagen
BSI Grundschutzhandbuch
Analog zum ISO/IEC 27000 Standard bietet auch das Grund-
schutzhandbuch des Bundesinstituts für Sicherheit in der Informationstechnik einen Best
Practice Ansatz zur Modellierung eines ISMS.
Die Basis des Grundschutzhandbuchs wird durch ein modulares Bausteinsystem abgebildet,
indem übergeordnete Prozesse und Verfahren (z.B. Organisation, Notfallplanung, Sicherheits-
management) als eigene Bausteine definiert sind. Komplettiert wird das Grundschutzhandbuch
durch einen ausführlichen Gefährdungs- und Maßnahmenkatalog.
Ziel des Grundschutzhandbuchs ist es, durch Standards für personelle, technische und
organisatorische Schutzmaßnahmen ein angemessenes Sicherheitniveau für IT-Systeme zu
erreichen.
Common Criteria
Die Common Criteria for Information Technology Security Evaluation
(Common Criteria,CC) existiert seit 1996 und ist ein Standard zur Bewertung und Zertifizierung
der Sicherheit von Computersystemen. Federführend sind sowohl Australien, Kanada, Frank-
reich, Deutschland, Italien, Japan, Malaysia, die Niederlande, Neuseeland, Norwegen, Südkorea,
Spanien, Schweden, Türkei, Großbritannien und die USA beteiligt. Der Maßnahmenkatalog
gliedert sich in drei Teile:
1. Einführung und allgemeines Modell / Introduction and General Model
2. Funktionale Sicherheitsanforderungen / Functional Requirements
3. Anforderungen an die Vertrauenswürdigkeit / Assurance Requirements
Ziel der CC ist es, die Sicherheitsfunktionalität und erfolgte Zusicherungen voneinander zu
trennen (nach [Wit06]).
Information Technology Infrastructure Library (ITIL)
ITIL beschreibt von IT-Dienstlei-
stern zu implementierende Prozesse, um IT-Services erfolgreich zu betreiben. Fünf Kerndoku-
mente bilden ein umfassende Dokumentensammlung, die weltweit Anwendung findet.
11
3. Psychologische Grundlagen
Nachdem die Grundlagen zur Sicherheit im Allgemeinen und in Bezug auf IT-Sicherheit
betrachtet wurden will dieses Kapitel zeigen, wie und warum Menschen in Bezug auf Sicherheit
handeln. So kann ein Übergang zur Passwortsicherheit geschaffen werden, die maßgeblich von
der Handlung und den Fehlern des Menschen abhängig ist. Der Ansatz hierbei ist eklektisch,
das heisst es wird kein umfassender Überblick geboten sondern die Bereiche betrachtet, die
nach Einschätzung der Autorin für diese Arbeit von Relevanz sind.
3.1. Definition Kommunikation
,,Man kann nicht nicht kommunizieren, denn jede Kommunikation (nicht nur mit
Worten) ist Verhalten und genauso wie man sich nicht nicht verhalten kann, kann
man nicht nicht kommunizieren." Paul Watzlawick [Ben12]
Kommunikation ist ein Synonym für den zwischenmenschlichen Informationsaustausch
mittels Worten, Gesten und Mimik. Bezogen auf die Informationstechnologie wird der Be-
griff analog verwendet - kommunizieren zwei Entitäten (z.B. Client, Server, Peripheriegeräte,
Prozesse) miteinander findet eine Kommunikation im Sinne eines Informationsaustausches
statt.
,,Kommunikation ist der Prozess, Informationen von einer Instanz zu einer anderen
zu transferieren. Kommunikation zieht Interaktion zwischen zumindest zwei Be-
teiligten nach sich und kann als gegenseitiger Prozess betrachtet werden, bei dem
es einen Austausch von Informationen gibt und eine Entwicklung oder Abfolge
von Gedanken, Gefühlen oder Ideen bezogen auf ein gegenseitig akzeptiertes Ziel
oder eine (Handlungs-)Richtung." Christopher Hadnagy [Had11, S. 69]
Relevant für diese Arbeit ist die Wahrnehmung, dass Kommunikation für die Sicherheit im
allgemeinen und die IT-Sicherheit entscheidend ist. Ohne Kommunikation von Komponenten
kann kein System funktionieren - dies ist einem Informatiker bekannt und würde nie in Frage
gestellt. Doch auch die zwischenmenschliche Kommunikation ist von Bedeutung, denn ein
12
3. Psychologische Grundlagen
Mensch kann ohne Information, was Sicherheit ist und wie er sich verhalten soll, kein sicheres
Verhalten anwenden (vgl. [BSHL12]).
Kommunikation birgt jedoch auch Schwachstellen - neben Mißverständnissen und Fehl-
interpretationen können auch simple Botschaften dazu führen, dass neben der reinen Sa-
chinformation auch Botschaften übertragen werden, die auf diese Weise nicht beabsichtigt
waren.
Abbildung 3.1 zeigt das wohl bekannteste Kommunikationsmodell, das ,,Kommunikations-
quadrat" nach Friedemann Schulz von Thun (vgl. [Sch13]). Diese zeigt die vier Ebenen einer
Kommunikation: die Sachinformation (,,das Fenster ist offen"), die Selbstkundgabe (,,mir ist
kalt"), einen Beziehungshinweis (,,ich möchte,dass Du etwas für mich tust") und einen Apell
(,,mach das Fenster zu").
Abbildung 3.1.: Das Kommunikationsquadrat nach [Sch13]
Die Qualität der Kommunikation hängt nach [Sch13] ausschliesslich von Sender und Emp-
fänger der Nachricht ab. Relevant für die Sicherheit ist, dass sowohl Sender als auch Empfänger
einer Nachricht nach korrekter Einschätzung des Gegenübers in der Lage sind, den anderen
zu beinflussen und sogar zu manipulieren. Diese Art der Beeinflussung ist besonders häufig
im Konfliktmanagement zu finden, kann aber auch im Social Engineering (siehe Kapitel 4.3.1)
Anwendung finden.
3.2. Definition Verhalten - Handlung
Verhalten wird an dieser Stelle als Gesamtheit der möglichen Lebensäußerungen von Men-
schen definiert (vgl. [BSHL12]). Diese Arbeit beschäftigt sich mit dem Verhalten gesunder,
erwachsener Menschen und deren Wunsch, Ziele mittels gerichteter und möglichst rationell
ausgerichteter Tätigkeiten zu erreichen.
13
3. Psychologische Grundlagen
Sobald das Verhalten einer Person planvoll, zielgerichtet und weitgehend bewusst kontrolliert
abläuft wird in der Psychologie von einer Handlung gesprochen (vgl. [Ase12]).Handlungen sind
aber auch relativ selbstständige Abschnitte zielgerichteter Tätigkeiten, die Teilziele realisieren.
Einflussfaktoren auf Handlungen
Die klassische Psychoanalyse geht davon aus, dass
Bedürfnisse (siehe auch Abbildung 2.1, die Bedürfnispyramide nach Maslow) sich direkt auf
die Verhaltensrichtung auswirken, da ein physiologisch vorgegebener Soll-Wert permanent
mit dem Ist-Wert verglichen wird und erreicht werden will.
Ein weiterer Einflussfaktor ist die Motivation. Nach der Erwartungs-Wert-Theorie (Heckhau-
sen und Heckhausen 2006, siehe [Ase12]) ist die Motivation das Produkt aus dem Nutzen bzw.
Wert, den eine Sache oder ein Zustand für uns hat, und unserer subjektiven Einschätzung der
Wahrscheinlichkeit, ob wir diese Sache oder diesen Zustand erreichen können (= Erwartung).
Erwartung x Wert = Motivation
Die beste Motivation erfolgt dann, wenn ein Ziel in Aussicht gestellt wird, das die aktuelle
Bedürfnislage möglichst genau trifft.
Die Feldtheorie (Lewin, 1946) hingegen ist ein Motivationskonzept (vgl. [Kie08]) welches
besagt, dass jede Person stets in einem Feld verschiedener Kräfte situiert ist, welche auf ihn
einwirken. Die Kräfte entstammen der Umwelt oder der Person selbst und wirken auf diese ein,
ähnlich magnetischer Felder in der Physik. Eine Person bewegt sich immer auf Ziele zu, die sie
positiv anziehen (positive Valenz) und von Dingen weg, die sie abstoßen (negative Valenz).
Als Beispiel lässt sich ein Mitarbeiter in einem Büro von einem zu ordnenden Aktenberg
abstossen, von einer frischen Tasse Kaffee anziehen. Übertragen auf die Fragestellung, warum
Menschen Sicherheitsaspekte häufig außer Acht lassen lässt sich nur vermuten, dass diese mit
einer negativen Valenz behaftet sind, wogegen die schnelle Erledigung eines Anliegens eine
positive Valenz ausübt. Der resultierende Zielkonflikt ,,positiv-negativ" geht (nach Lewin) stets
zugunsten der positiven Valenz aus
1
.
Kompetenz als subjektive Wahrnehmung, ob eine Person sich die Bewältigung eines Problems
zutraut, steht im Gegensatz zum landläufigen Begriffsverständnis (Sachverstand oder die
Befähigung innerhalb eines spezifischen Fachbereiches). Die Ausprägung dieser Wahrnehmung
beeinflusst die Handlungsfähigkeit unmittelbar: sobald die Kompetenz gering erscheint wird
die entsprechende Person eine Handlung eher unterlassen.
Zusammenfassend ist der Mensch nur schwer vorhersehbar - es variiert, abhängig von den
Bedürfnissen sowie der Motivation eines Menschen, ob er sich (spontan und unvorhergesehen)
1
weitere Zielkonflikte sind nach Lewin positiv-positiv und negativ-negativ, sollen an dieser Stelle aber nicht
weiter betrachtet werden.
14
3. Psychologische Grundlagen
Abbildung 3.2.: Fehlerklassifikation nach Reason (1990) siehe [BSHL12]
verhält oder (bewusst und zielgerichtet) handelt. Um herauszufinden warum Menschen sich auf
eine bestimmte Weise verhalten/handeln muss nicht die Gesamtheit, sondern das Individuum
betrachtet werden.
3.3. Definition Fehler
Ein Fehler liegt genau dann vor, wenn eine beabsichtigte Handlung, zu der es eine Alternative
gab, nicht das beabsichtigte Ergebnis erbrachte. Ob ein Fehler vorliegt wird vom Zielkriteri-
um bestimmt. Die klassische Fehlerforschung untersucht die Klassifikation von Fehlern, im
Anschluss werden möglich Ursachen betrachtet (vgl. [BSHL12]).
Die bekannteste Klassifikation erfolgte durch Reason (1990, vgl. [BSHL12]), welcher Formen
,,unsicherer Handlungen" untersucht und diese danach klassifiziert, auf welcher Ebene der
Handlungskontrolle sie vorkommen (Fehler in der Ausführung oder in der Planung) und ob
diese auf Absicht beruhen oder nicht (Regelverstöße vs. Fehler), siehe Abbildung 3.2.
Der Unterschied zwischen unbeabsichtigten und beabsichtigten Fehlern ist der, dass unbeab-
sichtigte im Nachhinein vom Auslösenden auch als Fehler wahrgenommen werden. Verstöße
15
3. Psychologische Grundlagen
gegen Sicherheitsaspekte, wie zum Beispiel das manuelle Deaktivieren einer Firewall um eine
(für den Nutzer) wichtige Email mit sicherheitskritischem Anhang zu versenden, fällt unter der
Klassifikation von Reason in die Kategorie Verstoß - Ausnahmeverstoß. Die Begründung solcher
Verstöße liegt darin, dass diese dem Ausübenden als sinnvoll für die Erreichung seiner Ziele
erscheinen. Sie sind entweder persönlicher Art (Schlafbedürfnis, Kompetenzstreben, Statussi-
cherung) oder aus arbeitsbezogenen Zielen (Zeitersparnis, Ressourcenersparnis, Optimierung
von Arbeitsabläufen) entstanden.
Die Ursachen für Fehler zeigen laut [BSHL12] kein eindeutiges Ergebnis, können aber
in Fehlerursachen innerhalb (endogenous error) oder außerhalb (exogenous error) der Person
liegen:
· Fehlerursachen außerhalb der handelnden Person: Organisationsfaktoren (Sicher-
heitskultur, Zielprioritäten), Arbeitsumgebung (Lärm, Arbeitszeiten, Geräteausstattung),
Merkmale der Arbeitsaufgabe (Komplexität, Strukturiertheit), Team (Kommunikations-
regeln, Erfahrung)
· Fehlerursachen innerhalb der handelnden Person: Physiologische und biologische
Faktoren (Müdigkeit, Ablenkung durch Lärm, krankheitsbedingte Aufmerksamkeitsstö-
rung), individuelles Wissen, Fertigkeiten und Fähigkeiten (individuell unterschiedlich
und personenabhängig), Mechanismen der menschlichen Informationsverarbeitung und
Motivationsregulation.
Zu den letztgenannten Mechanismen gehören nach [BSHL12] u.a. folgende:
Ressourcenschonung
Begrenzte kognitive Ressourcen, die an sich verändernde Informati-
onsverarbeitungsprozesse angepasst werden müssen, können zu Fehlern führen. Die sparsame
Verwendung bewussten Denkens zeigt sich besonders darin, dass Handlungsroutinen und
Automatismen gebildet werden, um die Komplexität zu verringern. Wahrnehmungsinhalte wer-
den nach Ähnlichkeit zu vorherigen Situationen (Schemata) erkannt; von mehreren möglichen
Schemata wird das bisher am häufigsten aufgetretene gewählt. Erst, wenn vorhandene Muster
und damit verbundene (Verhaltens-)Regeln nicht anwendbar sind werden neue Lösungen
erdacht.
,,Menschen bevorzugen das sparsame fertigkeits- und regelbasierte Handeln vor
dem wissensbasierten Handeln und problemlösenden Denken." Petra Badke-Schaub
et al. [BSHL12, S. 56]
16
3. Psychologische Grundlagen
Aktives Gedächtnis
Das Prinzip der Bahnung sagt aus, dass oft aufgerufene Gedächtnis-
inhalte am leichtesten zugänglich sind. So kommt es dazu, dass die assoziativ miteinander
verknüpften Inhalte abhängig von der persönlichen Relevanz schneller verfügbar sind. Ambi-
valent ist diese Tatsache, da die persönliche Relevanz bei der Auswahl von Gedächtnisinhalten
nicht mit sachlicher Relevanz einhergehen muss, und die Wiederholung bereits stattgefundener
Denkprozesse dazu führen kann, konservativ an neue Aufgaben und Probleme heranzugehen.
Überwertigkeit des aktuellen Motivs
Bereits in Kapitel 3.2, Definition Handlung - Ver-
halten, hat sich die Motivation als wesentlicher Aspekt des Handelns erwiesen. Als mögliche
Fehlerursache kommt sie ebenfalls genau dann vor, wenn das aktuelle Motiv überbewertet wird
und andere in den Hintergrund rücken. Dies erleichtert zwar ein zielgerichtetes, unabgelenktes
Handeln einerseits, langfristige Aspekte werden aber eventuell außer Acht gelassen.
Kompetenzschutz und soziale Motive
Das Gefühl von Kompetenz wird also benötigt um
eine Handlung auszuführen und wird intuitiv geschützt, um die Handlungsfähigkeit aufrecht
zu erhalten. Hierdurch entstehen z.B. Bestätigungsfehler (confirmation bias) - ein Bestätigungs-
fehler bezeichnet die Neigung, Informationen, die die eigene Erwartung widerlegen könnten,
zu ignorieren, was zu einer Selbsttäuschung führt.
Da Menschen weiterhin die Nähe und Akzeptanz anderer Menschen benötigen, wird even-
tuell nicht auf Fehler anderer hingewiesen, um die Akzeptanz und den Status innerhalb einer
Gruppe nicht zu gefährden.
3.4. Heuristiken
Jeder Mensch trifft individuelle Entscheidungen, insbesondere als Benutzer eines Computer-
systems und in Bezug auf Sicherheit. Diese Entscheidungen fallen oft nicht spontan, sondern
aufgrund von unbewusst eingeübte Handlungs- oder Denkroutine, die zum gewünschten Ziel
führen soll. Diese Routinen und Automatismen werden als Heuristiken bezeichnet und in zwei
Kategorien aufgeteilt.
"Menschen können in der Regel nicht jede Situation komplett durchdenken, um zu
einer Handlungsentscheidung zu gelangen." Bettina Weßelmann [Weß08, S. 601]
17
3. Psychologische Grundlagen
3.4.1. kognitive Heuristiken
[Weß08] unterscheidet in ihrem Artikel zwischen kognitiven und sozialen Heuristiken. Der
Unterschied liegt darin, dass kognitive Heuristiken ohne Einflussnahme Dritter Anwendung
finden, während soziale Heuristiken erst dadurch benötigt werden. Ausführliche Informationen
zu diesen Heuristiken bietet [Sch08b].
Sure-Gain-Heuristik
Bereits in der Urzeit bedeutete ein schneller, aber geringerer Erfolg bei der Jagd einen höheren
Gewinn (engl. ,,gain") als eine lange, risikoreiche Jagd, die bei Mißerfolg zum Verhungern
führen konnte. Aus diesem Grund greifen Menschen bei einer Entscheidung zwischen einem
sicheren, aber kleinen Gewinn oder einem weniger sichereren, langfristigeren Gewinn eher zu
ersterem.
Übertragen in die IT-Sicherheit bedeutet dies, dass ein Benutzer z.B. zum Abschluss einer
für ihn wichtigen Arbeit eine dabei behindernde Sicherheitsmaßnahme eher abschaltet, anstatt
deren Ursache zu ergründen. Als Beispiel kann das Absenden einer wichtigen Email genannt
werden, die durch eine Firewall behindert wird. Das Risiko, dass hierdurch eine Sicherheitslücke
entsteht ist dem Nutzer zwar bewusst, die persönliche Risikoeinschätzung der Bedrohung ist
jedoch gering.
Optimismus
Eine subjektive Gefahreneinstufung ist generell niedriger als würde der Benutzer dieselbe
Situation für einen anderen bewerten. Diese ,,optimistische" Grundeinstellung - ,,das passiert
nur den anderen" - findet sich häufig im IT-Bereich, da die Mitarbeiter hier über ein besonders
hochwertiges Wissen rund um die Sicherheit verfügen und davon ausgehen, dass sie gerade
dadurch besonders geschützt sind und fehlerfrei(er) arbeiten.
Heuristik der Kontrolle
Kurioserweise schätzen Menschen Gefahren geringer ein, wenn Sie das Gefühl haben die
Situation aktiv zu kontrollieren. Als Beispiel lässt sich nennen, dass Menschen die Gefahr eines
Unfalls als Fahrer eines PKW gering einschätzen, die Gefahr/das Risiko mit einem Flugzeug
abzustürzen, das statistisch sehr viel geringer ist, jedoch höher.
18
3. Psychologische Grundlagen
Affekt-Heuristik
Diese Heuristik sagt aus, dass Menschen sich abhängig von der aktuellen Gefühlslage unter-
schiedlich verhalten und hierdurch beeinflusst werden. Eine positive Grundstimmung kann
also beispielsweise zu einer höheren Risikobereitschaft führen.
Häufigkeit und Erinnerung
Je leichter man sich an ein bestimmtes Ereignis erinnern kann, desto höher ist die individu-
elle Wahrscheinlichkeitsempfindung, dass dieses erneut eintreten kann. Einen wesentlichen
Einfluss haben hier die Medien (z.B. in Bezug auf Internetkriminialität oder Terrorismus)
sowie das persönliche Umfeld. So kann es dazu kommen, dass sich Personen mit mehreren
Antivirenscannern ,,bewaffnen", jedoch keine Maßnahmen zur Datensicherung treffen, weil
sie noch nichts darüber gehört haben.
Bestärkungs-Heuristik
Möchte ein Mensch eine Entscheidung treffen ist er eher gewogen, Informationen zu vertrauen
die seine vorgefasste Meinung bestätigen.
3.4.2. soziale Heuristiken
[Weß08] zitiert insbesondere Robert Cialdini (,,Die Psychologie des Überzeugens") für die
Betrachtung von soziale Heuristiken, die in Bezug auf die Einflussnahme von Social Engineering
(siehe Kapitel 4.3.1) wertvolle Erkenntnisse liefern.
Reziprozität
Über kulturelle Grenzen hinweg findet Reziprozität Anwendung. Der Ablauf ist - ausgenom-
men sind laut Gouldner lediglich Kinder, Kranke und Behinderte - kaum zu durchbrechen.
Das Wertbehaftete, das weggeben wird muss für den Empfänger einen Wert haben, es muss
sich jedoch nicht um eine Sache handeln. Es kann auch ein Dienst, eine Hilfestellung oder
Information sein. Die Schuld, die der Empfänger durch den Erhalt unbewusst aufbaut hängt
vom Wert der Sache sowie dem Grad der Überraschung ab; es wird ein Gefühl der Verpflichtung
erzeugt, eine Gegenleistung zu erbringen.
19
3. Psychologische Grundlagen
Mittels Reziprozität - der inhärenten Erwartung
gut behandelt zu werden, wenn man dies eben-
falls tut - bietet sich die Möglichkeit, durch eine
Tat oder Hilfestellung einen Gefallen herbei-
zuführen oder zu erzwingen. Die ,,Norm der
Reziprozität", die eine grundlegende transkultu-
relle Dimension sittlichen Verhaltens darstellen
soll, sagt aus:
,, 1. Man soll denen helfen, die ei-
nem helfen.
2. Man soll jene nicht verletzen, die
einem geholfen haben."
Alvin W. Goudler [AM05, S. 109]
Abbildung 3.3.: Ablauf der Reziprozität
Commitment und Konsistenz
Menschen möchten sich konsistent verhalten und orientieren sich hierbei anhand früherer
Verhaltensweisen und getroffener Entscheidungen. Jegliche Art von Verpflichtung (engl. com-
mitment), z.B. ein zu vermittelnder Eindruck oder ein Versprechen) gegenüber Dritten ist ein
Motivator, diese Verpflichtung auch einzuhalten. Ringt z.B. ein Social Engineer dem Gesprächs-
partner ein erstes Commitment ab, z.B. der Bitte auf etwas kurz zu achten, wird sich dieser
verpflichtet fühlen, dies auch zu erfüllen.
Soziale Bewährtheit
In die selbe Richtung wie Commitment und Konsistenz wirkt auch der soziale Bewährtheit (engl.
social proof ), die Tatsache dass Menschen sich in unsicheren Situationen an ihrem sozialen
Umfeld orientieren und eine Handlungsweise ableiten. Beispiel hierfür ist z.B. das Experiment,
eine Person an einem belebten Ort in den Himmel sehen zu lassen. Bereits nach kurzer Zeit
folgen Passanten diesem Beispiel.
Sympathie
Menschen vertrauen anderen eher, wenn sie diese mögen bzw. sympathisch finden. Empfun-
dene, körperliche Attraktivität führt zu unbewusster Sympathie und zur Verknüpfung mit
anderen Erfolgsqualitäten, die nicht zwangsläufig zutreffen müssen
2
. Auch die Einschätzung
2
dieses Phänomen ist auch als Halo-Effekt bekannt.
20
3. Psychologische Grundlagen
des Gegenübers, dass einem ehrliche Unterstützung oder Hilfestellung zuteil wird, kann zu
Sympathie führen.
Autorität
Autorität ist eine weitere wichtige Einflussgröße in der Psychologie. Egal ob es sich um die
legale Autorität (Regierung und Gesetz, vertreten durch Polizei und Behördenvertreter), or-
ganisatorische Autorität (der Unternehmenshierarchie, vertreten durch Vorgesetzte) oder die
soziale Autorität(dem Eindruck, Anführer einer Gruppe zu sein) handelt - die meisten Men-
schen unterwerfen sich gedankenlos jeglicher Autorität ohne diese aktiv zu hinterfragen (vgl.
[Had11]). Hierbei wird jedoch meist nicht die Autorität selbst respektiert (die Persönlich-
keit mit maßgeblichem Einfluss und hohem Ansehen
3
), sondern deren Symbole in Form von
Titel, Kleidung oder Fahrzeugen, gegebenenfalls auch der Ausdrucksweise (beispielsweise
,,militärisch-zackig").
Knappheit
Informationen, Gegenstände oder Gelegenheiten wirken anziehender auf Menschen, wenn
diese für knapp, selten oder schwer zu kriegen gehalten werden. Je seltener eine Ressource
ist, desto höher ist der für das Objekt wahrgenommene Wert. Die Anwendung findet sich am
häufigsten in der Werbung wieder (,,Begrenztes Angebot" etc.), lässt sich aber auch auf die
zwischenmenschliche Kommunikation übertragen - in einem Prozess der Entscheidungsfin-
dung kann durch Verknappung als Werkzeug Druck aufgebaut werden. Die Anwendung von
Knappheit wird wirksamer, wenn man sie mit weiteren sozialen Heuristiken mischt.
3.5. Bewertung von Heuristiken
[Sch08b] betont in seinem Artikel, dass Sicherheit stets ein Kompromiss ist, die Menschen
jedoch dazu tendieren, wesentliche Aspekte außer Acht zu lassen:
· Die Schwere (engl. severity) des Risikos,
· Die Wahrscheinlichkeit des Risikos,
· Das Ausmaß der Kosten,
· Wie effektiv eine Gegenmaßnahme das Risiko senkt,
· Wie gut Risiken und Kosten gegeneinander aufgewogen werden können.
3
http://www.duden.de/rechtschreibung/Autoritaet
21
3. Psychologische Grundlagen
Je stärker die subjektive Wahrnehmung von der Realität abweicht, desto weniger wird der
erwogene Kompromiss vom benötigten abweichen. Die Ursache sieht Schneier darin, dass der
Mensch sich auf unwesentliche Dinge stärker konzentriert als auf wesentliche, weil diese seit
Millionen von Jahren in unserem Unterbewusstsein verankert sind.
Die Risikoeinschätzung erfolgt, analog zu Tieren, in der Amygdala, einem der ,,ältesten" Be-
standteile des Gehirns. Hier ist eine schnelle Reaktion das Maß aller Dinge, da das evolutionäre
Überleben (und somit erfolgreiche Fortplanzen) im Vordergrund steht.
Die Analyse und Vorhersage eine Risikos erfolgt jedoch durch den Neocortex, den nur
Säugetiere besitzen und der langsamer als die Amygdala arbeitet, was zu einem Zielkonflikt
führt, da beide parallel arbeiten.
Obwohl Heuristiken durchaus nützlich sind können sie aufgrund des evolutionären Hinter-
grunds heutzutage auch fehlschlagen. In genau diesen Fällen stimmt die subjektive Sicherheits-
einstufung nicht mehr mit der Realität überein, wodurch die situative Sicherheit gefährdet
wird. Hier sieht [Sch08b] auch die Lösung des Zielkonflikts - das Gefühl und die Realität von
Sicherheit müssen übereingebracht werden. Sicherheitsmaßnahmen, die ein Gefühl von Sicher-
heit vermitteln können dazu verwendet werden, das Sicherheitsbewusstsein der Menschen mit
dem aktuellen Risikolevel überein zu bringen.
22
4. Passwortsicherheit
Nach der Klärung grundlegender Begrifflichkeiten in den bisherigen Kapiteln wird sich die-
ses Kapitel mit Passworten und deren Sicherheitsrisiken und Maßnahmen zur Verbesserung
ebendieser beschäftigen. Der Schwerpunkt liegt hier jedoch auf der menschlichen Komponente.
Die Überprüfung der Authentizität (siehe Kapitel 2.2.1) von Subjekten ist notwendig, um die
bereits erläuterten Schutzziele (Kapitel 2.2.1) zu erreichen und zu erhalten (vgl.[Eck12]). Es gibt
mehrere Möglichkeiten der Authentifikation, wobei die Authentifizierung per Passwort und
Benutzername seit den 1960er Jahren verwendet wird
1
und sich trotz neuerer und vermeintlich
sicherer Technologien gleichbleibender Beliebtheit erfreut.
4.1. Definition Passwort
Die Herkunft des Wortes Passwort liegt laut dem Duden sowohl im Englischen (engl. password,
aus ,,pass" = Ausweis, Passierschein, Zugang) als auch dem Französischen (,,passe", von ,,passer"
= passieren). So soll einem bestimmten Personenkreis mittels eines Geheimnisses Zugang
zum Gebrauch einer Sache gewährt werden, um dessen Mißbrauch durch Außenstehende zu
verhindern.
War ein Passwort bereits vor Jahrhunderten ein Schlagwort oder eine Parole, handelt es
sich im heutigen Zeitalter der elektronischen Datenverarbeitung um eine aus Buchstaben,
Ziffern, Sonderzeichen oder deren Kombinationen bestehende Zeichenkette. Diese wird in
Kombination mit einem Benutzernamen (Usernamen), der meist aus dem Nachnamen, dem
Vornamen oder einer Kombination aus beidem besteht, oder Pseudonym/E-Mail-Adresse zur
passwortbasierten Zugangskontrolle verwendet. Der Austausch des Passwortes sollte immer
über einen vertrauenswürdigen, also vor Abhören (engl. eavesdropping) und unberechtigter
Modifikation geschützten Kanal stattfinden - klassisch ist dies beispielsweise die Briefpost oder
der persönliche Kontakt.
1
Das erste, bekannte Passwort für einen Computer wurde vermutlich in den 1960er Jahren für ein Compatible
Time Sharing System (CTSS), einem der ersten Multi-Client-Systeme, am Massachusetts Institute of Technology
vergeben um die unterschiedlichen Daten der Terminalnutzer zu schützen [IEE11].
23
4. Passwortsicherheit
Man unterscheidet die Verwendung von Verfahren mit einem Dauer-Passwort, das immer
wieder verwendet wird, und andere mit Einmal-Passwörtern, die nach jeder Benutzung gewech-
selt werden - an dieser Stelle werden nur Dauer-Passworte betrachtet, eine kurze Übersicht zu
Einmal-Passwörtern ist jedoch im Anhang A, Einmal-Passworte zu finden.
Ein (Dauer-)Passwort wird entweder von vorherein vom Benutzer ausgewählt oder vom
zu benutzenden System vorgegeben. Wählt der Benutzer es selbst stehen ihm alle Zeichen
des Alphabets, Ziffern und Sonderzeichen zur Verfügung. Diese kombiniert er nach seinen
persönlichen Vorlieben und in einer Länge seiner Wahl, allerdings abhängig von eventuellen
Passwortrichtlinien.
Systemgenerierte Passworte sind zufällig erzeugte Zeichenfolgen, die durch Ihre willkürliche
Zeichenwahl in der Regel schlecht erinnert werden können (vgl. [Eck12], [ZH99]). Diese können
entweder durch ein Anwendungssystem vorgegeben (beispielsweise als Initialpasswort), oder
aber auf Wunsch des Benutzers selbst erdacht oder durch Webseiten
2
oder Tools
3
generiert
worden sein (siehe auch: Kapitel 4.4,Maßnahmen zur Erhöhung der Sicherheit von Passworten).
,,An ideal password is something that you know, something a computer can verify
that you know, and something nobody else can guess - even with access to unlimi-
ted computating resources. [...] in practice it's difficult to even come close to this
ideal." Mark Stamp [Sta06, S. 231]
Zur besseren Abgrenzung verwende ich im weiteren Verlauf dieser Arbeit die Begrifflichkeit
,,herkömmlich" um benutzergewählte und systemgenerierte Passworte zusammenzufassen.
4.2. Klassische Sicherheitsrisiken
,,Passwords are the most often used form of authentication today, but this is
primarily because passwords are free and definitely not because they are secure."
Mark Stamp [S. 231][Sta06]
Die häufigsten Angriffe auf Passworte sind neben Wörterbuch-Angriffen (engl.: dictionary
attack), die Passworte mittels vorgegebener Begriffe, deren Permutationen sowie sprachspezifi-
schen Worthäufigkeiten ,,erraten" (engl. guessing) Brute Force-Attacken, die alle möglichen
Permutationen einer Länge mit ca. 1000 Wörtern pro Sekunde abarbeiten. Hinzu kommt
das klassische ,,Über-die-Schulter-Schauen" (engl. shoulder surfing), wobei der Angreifer in
2
vgl. [Vle12], http://www.passwort-generator.com usw.
3
z.B. http://www.heise.de/download/passwort-generator.html
24
4. Passwortsicherheit
unmittelbarer Nähe des Benutzers Einblick in die Tastatureingabe hat, verschiedende Arten
des Social Engineering (siehe auch Kapitel 4.3.1) als geschicktes Erfragen von Informationen
im persönlichen oder fernmündlichen Gespräch, sowie Phishing von Informationen durch
gefälschte Webseiten. Weiterhin werden Passworte durch Viren, Würmer, Trojaner, Keylog-
ger und verschiedenste Mal- und Spyware erschlichen, welche als technische Hilfsmittel zur
Datenspionage hier zwar genannt, jedoch nicht näher erläutert werden.
Unabhängig von den Angriffsmöglichkeiten durch Dritte darf der Benutzer selbst nicht
außer Acht gelassen werden. Risiken wie das Vergessen, Notieren oder Bekanntmachen von
Passworten sind nicht unwesentlicher als die vorgenannten, jedoch schwerer zu beseitigen.
,,The number of such SPs with which a typical user routinely interacts has grown
beyond the point at which most users can memorize the required credentials. The
most common solution is for users to use the same password with every SP with
which they register /a tradeoff between security and usability in favour of the
latter." Andreas Pashalidis, Chris J. Mitchell [PM03, S. 1]
Nur durch Angriffe auf bestehende Systeme und dadurch offengelegte Passwortdaten lassen
sich Aussagen darüber treffen, welche Passworte tatsächlich von Nutzern verwendet werden
und welche Voraussetzungen diese erfüllen - oder auch nicht. Die Firma Splashdata, ein großer
Hersteller von Sicherheitslösungen in den USA, gibt zum Zweck der Sensibilisierung von
Benutzern einmal jährlich eine Liste der schlechtesten Passworte heraus (siehe Abbildung 4.1).
[Bon12] hingegen konnte in seiner 2012 durchgeführten Studie auf 70 Millionen (anonymisierte)
Passworte zugreifen, die u.a. aus einem Sicherheitsvorfall bei Yahoo stammten. Hieraus ergaben
sich beispielsweise, dass 6,5 Prozent der deutschsprachigen Benutzer-Passworte innerhalb von
1000 Versuchen mit einem deutschsprachigen Dictionary-Angriff erraten werden konnten.
Weiterhin ergab die Studie, dass 8,4 Prozent der Passworte von Jugendlichen im Alter von
13-20 Jahren auf diese Weise erraten wurden, wohingegen die Gruppe der über 50jährigen
bei nur 7,3 Prozent lag. Übergreifend lässt sich feststellen dass die Qualität der Passworte,
gemessen an der Möglichkeit, diese zu erraten, durchweg schlecht ist.
Selbstgewählte Passworte sind für den Nutzer stets am besten erinnerbar. Diese haben jedoch
auch das größte Risiko, durch Dictionary- oder Brute Force-Angriffe aufgedeckt zu werden.
Risikobehaftet ist ebenfalls die Verwendung eines Passwortes für mehrere/alle Zwecke, nur
geringfügige Variationen z.B. durch angehängte Zahlen oder Sonderzeichen vorzunehmen
oder sein(e) Passwort(e) niemals zu verändern.
Systemgenerierte Passworte sind oft so komplex, dass der Benutzer die Zeichenfolge notiert
und sie in Arbeitsplatznähe deponiert (beispielsweise als Post-It am Monitor oder unter der
25
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Jahr
- 2013
- ISBN (PDF)
- 9783961160181
- ISBN (Paperback)
- 9783961165186
- Dateigröße
- 10.2 MB
- Sprache
- Deutsch
- Institution / Hochschule
- Hochschule für Angewandte Wissenschaften Hamburg – Fakultät Technik und Informatik
- Erscheinungsdatum
- 2016 (August)
- Note
- 1,7
- Schlagworte
- IT sicherheit Kerberos Single Sign On Passwortsicherheit
